Биыл көптеген компаниялар қашықтан жұмыс істеуге асығыс көшті. Кейбір клиенттер үшін біз аптасына жүзден астам қашықтағы жұмыстарды ұйымдастыру. Мұны тез ғана емес, сонымен қатар қауіпсіз орындау маңызды болды. VDI технологиясы көмекке келді: оның көмегімен қауіпсіздік саясатын барлық жұмыс орындарына тарату және деректердің ағып кетуінен қорғау ыңғайлы.
Бұл мақалада мен Citrix VDI негізіндегі виртуалды жұмыс үстелі қызметіміздің ақпараттық қауіпсіздік тұрғысынан қалай жұмыс істейтінін айтып беремін. Мен сізге клиенттердің жұмыс үстелдерін төлемдік бағдарлама немесе мақсатты шабуылдар сияқты сыртқы қауіптерден қорғау үшін не істейтінімізді көрсетемін.
Біз қандай қауіпсіздік мәселелерін шешеміз?
Біз қызметке бірнеше негізгі қауіпсіздік қатерлерін анықтадық. Бір жағынан, виртуалды жұмыс үстелі пайдаланушының компьютерінен вирус жұқтыру қаупі бар. Екінші жағынан, виртуалды жұмыс үстелінен Интернеттің ашық кеңістігіне шығып, вирус жұққан файлды жүктеп алу қаупі бар. Бұл орын алса да, ол бүкіл инфрақұрылымға әсер етпеуі керек. Сондықтан қызметті құру кезінде біз бірнеше мәселені шештік:
- Бүкіл VDI тұғырын сыртқы қауіптерден қорғайды.
- Клиенттерді бір-бірінен оқшаулау.
- Виртуалды жұмыс үстелдерінің өзін қорғау.
- Пайдаланушыларды кез келген құрылғыдан қауіпсіз қосыңыз.
Қорғаныстың өзегі Fortinet жаңа буын брандмауэрі FortiGate болды. Ол VDI стенді трафигін бақылайды, әрбір клиент үшін оқшауланған инфрақұрылымды қамтамасыз етеді және пайдаланушы жағындағы осалдықтардан қорғайды. Оның мүмкіндіктері ақпараттық қауіпсіздік мәселелерінің көпшілігін шешуге жеткілікті.
Бірақ компанияда арнайы қауіпсіздік талаптары болса, біз қосымша опцияларды ұсынамыз:
- Біз үйдегі компьютерлерден жұмыс істеу үшін қауіпсіз қосылымды ұйымдастырамыз.
- Біз қауіпсіздік журналдарын тәуелсіз талдауға рұқсат береміз.
- Біз жұмыс үстелінде антивирустық қорғауды басқаруды қамтамасыз етеміз.
- Біз нөлдік күндік осалдықтардан қорғаймыз.
- Рұқсат етілмеген қосылымдардан қосымша қорғау үшін көп факторлы аутентификацияны конфигурациялаймыз.
Мен сізге мәселелерді қалай шешкенімізді толығырақ айтып беремін.
Стендті қалай қорғауға және желі қауіпсіздігін қамтамасыз етуге болады
Желінің бөлігін сегменттерге бөлейік. Стендте біз барлық ресурстарды басқаруға арналған жабық басқару сегментін атап өтеміз. Басқару сегменті сырттан қолжетімсіз: клиентке шабуыл жасалған жағдайда, шабуылдаушылар оған жете алмайды.
FortiGate қорғанысқа жауап береді. Ол антивирустың, брандмауэрдің және интрузияның алдын алу жүйесінің (IPS) функцияларын біріктіреді.
Әрбір клиент үшін виртуалды жұмыс үстелдері үшін оқшауланған желі сегментін жасаймыз. Осы мақсатта FortiGate виртуалды домен технологиясы немесе VDOM бар. Ол брандмауэрді бірнеше виртуалды нысандарға бөлуге және әрбір клиентке жеке желіаралық қалқан сияқты әрекет ететін жеке VDOM бөлуге мүмкіндік береді. Біз сондай-ақ басқару сегменті үшін бөлек VDOM жасаймыз.
Бұл келесі диаграмма болып шығады:
Клиенттер арасында желілік байланыс жоқ: әрқайсысы өз VDOM-да тұрады және екіншісіне әсер етпейді. Бұл технологиясыз біз клиенттерді брандмауэр ережелерімен бөлуге тура келеді, бұл адам қателігіне байланысты қауіпті. Мұндай ережелерді үнемі жабық болуы керек есікпен салыстыруға болады. VDOM жағдайында біз ешқандай «есіктерді» қалдырмаймыз.
Жеке VDOM-да клиенттің өз адресі мен маршруттауы болады. Сондықтан полигондарды кесіп өту компания үшін проблемаға айналмайды. Клиент виртуалды жұмыс үстеліне қажетті IP мекенжайларын тағайындай алады. Бұл жеке IP жоспарлары бар ірі компаниялар үшін ыңғайлы.
Біз клиенттің корпоративтік желісімен байланыс мәселелерін шешеміз. Бөлек тапсырма VDI-ны клиенттік инфрақұрылыммен байланыстыру болып табылады. Егер компания біздің деректер орталығында корпоративтік жүйелерді сақтаса, біз оның жабдығынан желіаралық қалқанға желілік кабельді жай ғана қоса аламыз. Бірақ біз көбінесе қашықтағы сайтпен - басқа деректер орталығымен немесе клиент кеңсесімен айналысамыз. Бұл жағдайда біз сайтпен қауіпсіз алмасу арқылы ойланамыз және IPsec VPN арқылы site2site VPN құрастырамыз.
Инфрақұрылымның күрделілігіне байланысты схемалар әртүрлі болуы мүмкін. Кейбір жерлерде VDI-ге бір кеңсе желісін қосу жеткілікті - онда статикалық маршруттау жеткілікті. Ірі компанияларда үнемі өзгеріп отыратын көптеген желілер бар; мұнда клиентке динамикалық маршруттау қажет. Біз әртүрлі хаттамаларды қолданамыз: OSPF (Бірінші ең қысқа жолды ашыңыз), GRE туннельдері (Жалпы бағыттау инкапсуляциясы) және BGP (Шекара шлюзі протоколы) жағдайлары бұрыннан болған. FortiGate басқа клиенттерге әсер етпей, бөлек VDOM-дағы желілік протоколдарды қолдайды.
Сіз сондай-ақ Ресей Федерациясының ФСБ сертификатталған криптографиялық қорғау құралдарына негізделген GOST-VPN - шифрлауды құра аласыз. Мысалы, «S-Terra Virtual Gateway» немесе PAK ViPNet, APKSH «Continent», «S-Terra» виртуалды ортасында KS1 класс шешімдерін пайдалану.
Топтық саясаттарды орнату. Біз клиентпен VDI жүйесінде қолданылатын топтық саясаттар бойынша келісеміз. Мұнда орнату принциптері кеңседегі саясатты орнатудан еш айырмашылығы жоқ. Біз Active Directory қызметімен интеграцияны орнаттық және кейбір топтық саясаттарды басқаруды клиенттерге тапсырамыз. Жалға алушы әкімшілері Компьютер нысанына саясаттарды қолдана алады, Active Directory ішіндегі ұйымдық бөлімшесін басқара алады және пайдаланушыларды жасай алады.
FortiGate жүйесінде әрбір VDOM клиенті үшін біз желілік қауіпсіздік саясатын жазамыз, кіру шектеулерін орнатамыз және трафикті тексеруді конфигурациялаймыз. Біз бірнеше FortiGate модульдерін қолданамыз:
- IPS модулі трафикті зиянды бағдарламаларға сканерлейді және енуді болдырмайды;
- антивирус жұмыс үстелін зиянды бағдарламалар мен шпиондық бағдарламалардан қорғайды;
- веб-сүзгілеу зиянды немесе орынсыз мазмұны бар сенімсіз ресурстар мен сайттарға кіруді блоктайды;
- Брандмауэр параметрлері пайдаланушыларға Интернетке тек белгілі бір сайттарға кіруге рұқсат беруі мүмкін.
Кейде клиент қызметкерлердің веб-сайттарға қол жеткізуін дербес басқарғысы келеді. Көбінесе банктер бұл өтінішпен келеді: қауіпсіздік қызметтері қол жеткізуді басқару компанияның жағында болуын талап етеді. Мұндай компаниялардың өздері трафикті бақылайды және саясатқа үнемі өзгерістер енгізеді. Бұл жағдайда біз FortiGate-тен барлық трафикті клиентке бұрамыз. Мұны істеу үшін біз компанияның инфрақұрылымымен конфигурацияланған интерфейсті қолданамыз. Осыдан кейін клиенттің өзі корпоративтік желіге және Интернетке кіру ережелерін конфигурациялайды.
Оқиғаларды стендте тамашалаймыз. FortiGate-пен бірге біз Fortinet журналының жинағышы FortiAnalyzer қолданамыз. Оның көмегімен біз VDI-дегі барлық оқиғалар журналдарын бір жерден қараймыз, күдікті әрекеттерді табамыз және корреляцияларды қадағалаймыз.
Біздің клиенттеріміздің бірі Fortinet өнімдерін кеңсесінде пайдаланады. Ол үшін біз журналды жүктеп салуды конфигурацияладық - осылайша клиент кеңсе машиналары мен виртуалды жұмыс үстелдері үшін барлық қауіпсіздік оқиғаларын талдай алды.
Виртуалды жұмыс үстелдерін қалай қорғауға болады
Белгілі қауіптерден. Егер клиент антивирустық қорғауды өз бетінше басқарғысы келсе, біз виртуалды орталар үшін Kaspersky Security бағдарламасын қосымша орнатамыз.
Бұл шешім бұлтта жақсы жұмыс істейді. Классикалық Касперский антивирусы «ауыр» шешім екеніне бәріміз үйреніп қалдық. Керісінше, Kaspersky Security for Virtualization виртуалды машиналарды жүктемейді. Барлық вирустық деректер базасы түйіннің барлық виртуалды машиналары үшін үкім шығаратын серверде орналасқан. Виртуалды жұмыс үстелінде тек жарық агенті орнатылған. Ол файлдарды тексеру үшін серверге жібереді.
Бұл архитектура бір уақытта виртуалды машиналар өнімділігін төмендетпей файлдарды қорғауды, Интернетті қорғауды және шабуылдан қорғауды қамтамасыз етеді. Бұл жағдайда клиент файлдарды қорғауға ерекше жағдайларды дербес енгізе алады. Біз шешімнің негізгі орнатуына көмектесеміз. Оның ерекшеліктері туралы бөлек мақалада айтатын боламыз.
Белгісіз қауіптерден. Ол үшін біз FortiSandbox – Fortinet-тен «құмсалғышты» қосамыз. Антивирус нөлдік күндік қауіпті жіберіп алған жағдайда оны сүзгі ретінде пайдаланамыз. Файлды жүктеп алғаннан кейін біз оны алдымен антивируспен сканерлейміз, содан кейін оны құм жәшігіне жібереміз. FortiSandbox виртуалды машинаны эмуляциялайды, файлды іске қосады және оның әрекетін бақылайды: тізілімдегі қандай нысандарға қол жеткізіледі, сыртқы сұрауларды жібереді ме және т.б. Егер файл күдікті әрекет етсе, құмсалғыштағы виртуалды машина жойылады және зиянды файл пайдаланушы VDI-де аяқталмайды.
VDI-ге қауіпсіз қосылымды қалай орнатуға болады
Біз құрылғының ақпараттық қауіпсіздік талаптарына сәйкестігін тексереміз. Қашықтықтан жұмыс басталғалы бері клиенттер бізге өздерінің жеке компьютерлерінен пайдаланушылардың қауіпсіз жұмыс істеуін қамтамасыз ету туралы өтініштермен жүгінді. Кез келген ақпараттық қауіпсіздік маманы үй құрылғыларын қорғау қиын екенін біледі: сіз қажетті антивирусты орната алмайсыз немесе топтық саясатты қолдана алмайсыз, өйткені бұл кеңсе жабдығы емес.
Әдепкі бойынша, VDI жеке құрылғы мен корпоративтік желі арасындағы қауіпсіз «қабатқа» айналады. VDI пайдаланушы құрылғысының шабуылдарынан қорғау үшін алмасу буферін өшіреміз және USB арқылы қайта жіберуге тыйым саламыз. Бірақ бұл пайдаланушы құрылғысының өзін қауіпсіз етпейді.
Біз мәселені FortiClient көмегімен шешеміз. Бұл соңғы нүктені қорғау құралы. Компанияның пайдаланушылары өздерінің үй компьютерлеріне FortiClient орнатып, оны виртуалды жұмыс үстеліне қосылу үшін пайдаланады. FortiClient бірден 3 мәселені шешеді:
- пайдаланушы үшін қол жеткізудің «бір терезе» болады;
- сіздің жеке компьютеріңізде антивирус және соңғы ОЖ жаңартулары бар-жоғын тексереді;
- қауіпсіз қол жеткізу үшін VPN туннелін жасайды.
Қызметкер тексеруден өткен жағдайда ғана рұқсат алады. Сонымен қатар, виртуалды жұмыс үстелдерінің өзі Интернеттен қолжетімсіз, яғни олар шабуылдардан жақсы қорғалған.
Егер компания соңғы нүктені қорғауды өзі басқарғысы келсе, біз FortiClient EMS (Endpoint Management Server) ұсынамыз. Клиент жұмыс үстелін сканерлеуді және басып кіруді болдырмауды теңшей алады және мекенжайлардың ақ тізімін жасай алады.
Аутентификация факторларын қосу. Әдепкі бойынша, пайдаланушылар Citrix netscaler арқылы аутентификацияланады. Мұнда да SafeNet өнімдеріне негізделген көп факторлы аутентификацияны қолдану арқылы қауіпсіздікті күшейте аламыз. Бұл тақырып ерекше назар аударуды қажет етеді, біз бұл туралы бөлек мақалада айтатын боламыз.
Біз өткен жұмыс жылында әртүрлі шешімдермен жұмыс істеу тәжірибесін жинақтадық. VDI қызметі әрбір клиент үшін бөлек конфигурацияланады, сондықтан біз ең икемді құралдарды таңдадық. Мүмкін жақын арада тағы бір нәрсе қосып, тәжірибемізбен бөлісерміз.
7 қазан күні сағат 17.00-де әріптестерім виртуалды жұмыс үстелі туралы «VDI қажет пе, әлде қашықтан жұмысты қалай ұйымдастыруға болады?» атты вебинарда сөйлеседі.
, VDI технологиясы компания үшін қашан қолайлы және басқа әдістерді қашан қолданған дұрыс екенін талқылағыңыз келсе.
Ақпарат көзі: www.habr.com